Публичный эксплойт для CopyFail (CVE-2026-31431) появился в открытом доступе — зафиксированы реальные атаки

Опубликованный рабочий эксплойт для уязвимости CopyFail в ядре Linux позволяет злоумышленникам получать полный контроль над уязвимыми системами; U.S. CISA подтверждает эксплуатацию в дикой среде и потребовала срочного обновления федеральных систем.

Исследователи выложили в открытый доступ рабочий код эксплуатации уязвимости CopyFail (CVE-2026-31431), после чего специалисты и крупные агентства зафиксировали случаи использования дефекта в реальных злоумышленнических кампаниях. Публичный релиз эксплойта резко повысил риск компрометации серверов и рабочих станций с уязвимыми версиями Linux и вынудил организации немедленно оценить степень своей уязвимости. Уязвимость была обнаружена в конце марта, а исправления в ядро были внесены примерно через неделю. Несмотря на наличие патчей, они ещё не полностью распространились по пакетам и обновлениям многих дистрибутивов, что создаёт окно риска для центров обработки данных и корпоративных сред. Публичный доступ к рабочему коду сократил время на подготовку атак и увеличил вероятность успешной эксплуатации до тех пор, пока обновления не будут установлены.

Технически CopyFail затрагивает ядро Linux версии 7.0 и более ранние релизы: ошибка возникает в компоненте ядра, который не копирует определённые данные, что приводит к повреждению критичных внутренних структур и даёт возможность злоумышленнику приписать себе полномочия ядра. Это позволяет локальному непривилегированному пользователю эскалировать привилегии до root и получить полный контроль над системой при успешной эксплуатации.

Несколько исследовательских групп и разработчиков верифицировали работу дефекта на популярных дистрибутивах. Компания Theori подтверждала эксплуатацию в Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 и SUSE 16; разработчик Jorijn Schrijvershof отметил работоспособность эксплойта на Debian и Fedora и указал на влияние на Kubernetes, опирающийся на ядро Linux. По заявлению проекта, короткий Python‑скрипт позволяет получить root на дистрибутивах, поставляемых с 2017 года. Сам по себе CopyFail не является удалённо исполняемой уязвимостью, но, как отмечает Microsoft, её можно объединить с уязвимостью с удалённой доставкой, что даст атакующему удалённый root‑доступ.

Поскольку патчи ещё не полностью дошли до всех поставщиков пакетов, регуляторы и операторы инфраструктуры требуют срочной реакции. Агентство CISA издало директиву: всем гражданским федеральным агентствам США предписано устранить уязвимость до 15 мая. Инженерам и администраторам рекомендовано проверить используемые версии ядра и статус обновлений дистрибутивов, следить за пакетными репозиториями и поставщиками, учитывать возможность цепочечных атак (remote‑exploit + локальный CopyFail) и атак через цепочку поставок, а также усилить мониторинг попыток эксплуатации до полного распространения исправлений.